Carstens Weblog

Apple-User. Nerd. Gamer. Born 336ppm

[22:29] Für alle, die NextCloud nutzen und auf Sicherheitsbewertungen von https://scan.nextcloud.com achten: Ich hatte ein Problem mit dem „__Host-Prefix“ in meiner NextCloud-Instanz. Sie läuft unter /var/www/nextcloud und ist über data.example.net/index.php erreichbar.

Nachdem ich verschiedene Lösungen ohne Erfolg ausprobiert hatte, fand ich eine einfache Lösung: Ich habe die Referrer-Policy in der Apache Konfiguration für Nextcloud auf „no-referrer“ gesetzt:

Header always set Referrer-Policy "no-referrer"

Danach den Sicherheitstest erneut durchgeführt und schon steht da eine A+-Bewertung. Das „__Host-Prefix“-Problem war damit gelöst.

Tags: #Apache #Nextcloud #Selfhosting

[22:23] Ich habe da etwas neues entdeckt: LocalSend

/uploads/localsend.png

Eine kostenlose, plattformübergreifende App für Windows, macOS, Linux, Android und iOS, die es dir ermöglicht, Dateien sicher und dezentral ohne zentrale Server zu teilen. Mit Ende-zu-Ende-Verschlüsselung, einfacher Bedienung und Open-Source-Charakter ist LocalSend die perfekte Lösung für lokalen Dateiaustausch.

Tags: #AirDrop #LocalSend #Filesharing

[20:33] Ich experimentiere gerade mit Proxmox und da dachte ich mir, ich lasse mir das mal schnell aufschreiben, wie ich den SSH Zugang zu Proxmox ein wenig absichern kann:

SSH-Zugang auf Proxmox absichern

Standardmäßig erlaubt Proxmox, dass man sich als root über SSH einloggt, was nicht so sicher ist. Um das zu verbessern, kann man den root-Login ausschalten und einen Benutzer mit sudo-Rechten und Schlüsseldateiauthentifizierung einrichten.

  1. Einen sudo-Benutzer mit Schlüssel erstellen:

    • Benutze die Web-Shell und melde dich als root auf deinem Proxmox-Host an.
    • Erstelle einen neuen Benutzer, zum Beispiel mit adduser admin.
    • Füge den Benutzer zur sudo-Gruppe hinzu mit usermod -aG sudo admin.
    • In einem zweiten Terminal erzeuge ein Schlüsselpaar (öffentlich und privat) auf deinem lokalen Rechner mit ssh-keygen.
    • Kopiere den öffentlichen Schlüssel auf den Proxmox-Host mit ssh-copy-id admin@<Proxmox-Hostname>.
    • Falls du bei der Schlüsselerzeugung ein Passwort vergeben hast, füge den Schlüssel vor der Anmeldung mit ssh-add <ssh-key-file> zum SSH Agenten hinzu.
    • Logge dich nun als neuer Benutzer mit ssh -i <ssh-key-file> admin@<Proxmox-Hostname> auf dem Proxmox-Host ein.
    • Wenn das geklappt hat, zu Schritt zwei.

  2. SSH Server so einrichten, dass er nur noch Schlüsseldateien benutzt:

    • Benutze die Web-Shell und melde dich als root auf deinem Proxmox-Host an.
    • Öffne die SSH-Konfigurationsdatei. Die Datei ist unter /etc/ssh/sshd_config.
    • Suche die Zeile PasswordAuthentication yes und ändere sie zu PasswordAuthentication no.
    • Suche die Zeile ChallengeResponseAuthentication yes und ändere sie zu ChallengeResponseAuthentication no. Wenn nicht vorhanden, kannst du
    • Speichere die Datei und schließe den Editor.
    • Starte den SSH-Dienst neu mit systemctl restart sshd.

  3. SSH Root-Login ausschalten:

    • Benutze die Web-Shell und melde dich als root auf deinem Proxmox-Host an.
    • Öffne die SSH-Konfigurationsdatei. Die Datei findest du unter /etc/ssh/sshd_config.
    • Suche die Zeile PermitRootLogin yes und ändere sie zu PermitRootLogin no.
    • Speichere die Datei und schließe den Editor.
    • Starte den SSH-Dienst neu mit systemctl restart sshd.

Jetzt hast du den root-Login deaktiviert, einen sudo-Benutzer mit Schlüsseldateiauthentifizierung erstellt und den Benutzer so eingerichtet, dass er Schlüsseldateien statt Passwörter verwendet. Du kannst dich nun sicher mit dem neuen Benutzerkonto auf deinem Proxmox-Host einloggen.

Zusatz: SSH-Schlüssel für admin erstellen und konfigurieren

  1. SSH-Schlüsselpaar erzeugen:

    • Öffne ein Terminal auf deinem lokalen Rechner.
    • Erzeuge ein Schlüsselpaar mit: sh ssh-keygen -t rsa -b 4096 -C "admin"
    • Speichere den Schlüssel unter einem gewünschten Pfad, z.B. /home/benutzername/.ssh/admin_key.

  2. Öffentlichen Schlüssel auf den Proxmox-Host kopieren:

    • Verwende ssh-copy-id, um den öffentlichen Schlüssel auf den Proxmox-Host zu kopieren: sh ssh-copy-id -i /home/benutzername/.ssh/admin_key.pub admin@<Proxmox-Hostname>

  3. SSH-Konfiguration anpassen:

    • Erstelle oder bearbeite die Konfigurationsdatei in deinem .ssh-Verzeichnis, z.B. /home/benutzername/.ssh/config, um den Schlüssel automatisch zu verwenden: sh Host proxmox HostName <Proxmox-Hostname> User admin IdentityFile /home/benutzername/.ssh/admin_key

Jetzt kannst du dich einfach mit ssh proxmox als admin-Benutzer auf deinem Proxmox-Host anmelden.

Tags: #authentication #linux #proxmox #rootlogin #security #server #ssh #sudo #virtualization

[10:28] Heute wird es Sonnig bei +24(26) °C. Durchschnittlich ↑ 13 km/h Wind mit 10 km Sicht bei 0.0 mm Niederschlag.

Wenigstens ist es nicht so heiß wie gestern. Die gestrige Aufräumaktion im ausgebauten Dachgeschoss fühlte sich an wie die Arbeit in einer Bio-Sauna. Aber es befreit ungemein, wenn man einmal alle Sachen vom Staub befreit, die Schreibtische ab- und ausgeräumt, auseinandergenommen und neu zusammengestellt hat. Jetzt habe ich zwar etwas mehr Platz verbraucht, aber auch mehr Platz vor dem Fenster geschaffen und endlich meine Ecke für mein Homelab bekommen.

Morgen kommt auch der neue höhenverstellbare Schreibtisch. Ein IDÅSEN von Ikea. Ich hoffe, dass ich mich zusammenreißen kann und meine Vorstellungen von einem minimalistischen und aufgeräumten Schreibtisch durchsetzen kann.

[13:38] Ich glaube, dass wir einen guten Nachfolger für Jens Stoltenberg gefunden haben: Niederländer Rutte zum neuen Generalsekretär gewählt

Die NATO hat den scheidenden niederländischen Regierungschef Rutte offiziell zum neuen Generalsekretär ernannt. Die Botschafter der 32 Migliedstaaten nahmen die Nominierung des 57-Jährigen bei einer Sitzung des Nordatlantikrats vor.

[10:00] Heute: Sonnig bei +28(30) °C - ↙ 11 km/h Wind - 10 km Sicht bei 0.0 mm Niederschlag

[13:37] Apropos Backup: The 3-2-1 Backup Strategy

[13:30] Vor einiger Zeit habe ich schon einmal etwas über mein Homelab geschrieben (https://cbrueggenolte.de/ts/zVJBgxvx3d/). Das ist nun schon über 18 Monate her. Deshalb hier ein kleines Update zu meinem Homelab.

Einige der Dienste sind verschwunden oder noch nicht wieder da. Das liegt daran, dass ich das Asustor NAS platt gemacht und TrueNAS installiert habe. Vorher habe ich natürlich ein Backup von allem gemacht, was ich gefunden habe. Was gar nicht so einfach ist, wenn man knapp 3,2 TB an Daten zwischenspeichern muss. Die alte Synology NAS hat dabei gute Dienste geleistet, ist aber nicht die schnellste und so hat das Backup knapp 1 Woche gedauert. Was aber zum Teil auch daran lag, dass viele Dateien wegen seltsamer und teilweise ungültiger Dateinamen nicht kopiert werden konnten.

Dienste wie den Nginx Proxy Manager (https://nginxproxymanager.com/) und AdGuard (https://adguard.com/de/adguard-home/overview.html) habe ich nun auf eine kleine lüfterlose Box ausgelagert. Zum einen wegen der Verfügbarkeit und zum anderen, weil nicht alle Dienste auf der NAS laufen sollen und ich sie auf mehrere Maschinen im Netzwerk verteilen möchte.

Außerdem habe ich mir ein Minisforum HM90 (https://smallformfactor.net/reviews/minisforum-hm90-4900h-review/) bestellt. Dieses kommt mit einem AMD Ryzen 9 4900H Prozessor. Mit den bereits bestückten 32 GB DDR4 RAM sollte ich eine Weile auskommen. Für das System nutze ich die eingebaute 512 GB M.2 NVMe und für die Daten werde ich zwei 2 TB Intenso Performance SSDs einbauen.

Der HM90 soll im Netzwerk als Nextcloud-Instanz und GameServer fungieren. Allerdings möchte ich dort kein TrueNAS installieren, sondern mit Proxmox (https://www.proxmox.com/de) arbeiten. Unraid (https://unraid.net/) wurde mir auch vorgeschlagen, aber ich möchte keine Jahreslizenzen kaufen müssen. Noch nicht, aber vielleicht wird sich das eines Tages ändern.

Zur Zeit habe ich folgende Dienste auf dem Asustor unter TrueNAS laufen:

Was die Sicherheit betrifft, so habe ich noch keine „richtige“ Firewall installiert, aber das steht auf meiner Agenda. Im Moment verlasse ich mich auf den Nginx Proxy Manager. Und um das Logging muss ich mich irgendwann auch kümmern. Aber da muss ich mich erst noch in die Möglichkeiten einarbeiten.

Für den externen Zugriff auf interne Dienste verwende ich Tailscale als VPN-Lösung. Für die lokale Verschlüsselung bestimmter Dokumente verwende ich Cryptomator (https://cryptomator.org/), um die Sicherheit meiner Daten zu gewährleisten.

Wenn der HM90 verfügbar ist, möchte ich mit meinen Daten und der Nextcloud-Instanz auf den HM90 umziehen. Dieser ist wesentlich leistungsfähiger und sollte auch mit zusätzlichen Nextcloud-Modulen (Volltextsuche, Memories (https://apps.nextcloud.com/apps/memories), etc.) besser zurechtkommen. Oder ich bleibe bei Immich (https://github.com/immich-app/immich). Das muss sich noch zeigen.

Nach und nach möchte ich aber (fast) alle Dienste (siehe oben) umziehen und das Asustor NAS wirklich nur noch als reinen Netzwerkspeicher nutzen. Wie ich die SMB- oder NFS-Freigaben für die Container unter Proxmox einbinden kann, muss ich noch herausfinden. Vielleicht reicht die Leistung auf dem HM90 ja sogar noch für einen Factorio-Gameserver aus (wenn doch nur das offizielle DLC schon da wäre).

Was mich aber gefreut hat, ist die Tatsache, dass TrueNAS in Zukunft nicht mehr auf Kubernetes, sondern auf Docker Compose setzen will (https://forums.truenas.com/t/the-future-of-electric-eel-and-apps/5409). Das vereinfacht das Erstellen und Aufsetzen von Containern mit mehreren Diensten (WebServer, Datenbank, Cache, etc.) erheblich.

Außerdem muss ich mich noch intensiv mit Proxmox und auch mit pfSense beschäftigen. Die Datenmigration und das Backup von Containern stellt für mich noch eine Herausforderung dar, da mir irgendwie eine klare Backup- und Restore-Strategie fehlt. Ich plane, mich intensiver mit diesem Thema zu beschäftigen, um mein Homelab effizienter zu verwalten.

Ich freu mich drauf. :-)

Tags: #homelab #hm90 #truenas #proxmox #nextcloud #audiobookshelf #navidrome #linkding

[10:22] Wurde auch Zeit: WikiLeaks-Gründer Assange auf dem Weg in die Freiheit

Passende dazu gibt es auch eine Folge vom 11KM Podcast: Audio Assange: Ausgeleakt und ausgeliefert?

Tags: #Assange #Tagesschau #Podcast

[09:53] Geht gar nicht!

Influencer, die mit dem Zeigen ihrer Kinder im Internet Geld verdienen – das Hilfswerk „Terre des Hommes“ wertet das als Kinderarbeit. So sieht es auch Kinderrechtsaktivistin Toyah Diebel. Es mangele an Medienkompetenz und Gesetzen.

Quelle: Deutschlandfunk

Caroline Kebekus hat das Thema ebenfalls in ihrer Sendung aufgegriffen. Auch wenn sie nicht meine „Lieblingskomikerin“ ist, so kann man sich den 13min Ausschnitt doch mal angucken. Schrecklich was da so auf Instagram geteilt wird. Auf dem Rücken der Kinder Geld verdienen wollen. Wie Influencer:innen mit ihren Kindern Geld verdienen (nocookie)

[08:40] Heute: Strahlendes Wetter Sonnig bei 24(25)°C, leichte Brise von 13 km/h, 10 km Sichtweite, kein Regen!

[19:00] Wenn man die Kohle hat und die Schauspieler bock drauf haben? Warum nicht. Middleerde erwartet dich im The Most Epic Safety Video Ever Made

[11:27] Bis 2031 soll die Bundeswehr 203.000 Soldaten umfassen, aktuell hat sie knapp 181.000 Soldaten. Es fehlen also ca. 20.000 Frauen und Männer, die diese Lücke füllen sollen. Der Verteidigungsminister hat gestern die neuen Pläne für den Auswahlwehrdienst vorgestellt. Junge Männer ab 18 Jahren sollen einen Fragebogen ausfüllen, der sie über die Möglichkeiten des Wehrdienstes informiert. Der Wehrdienst selbst soll aber freiwillig bleiben. Frauen sollen den Fragebogen ebenfalls erhalten, aber keine Verpflichtung haben, diesen auszufüllen, da sie nicht der Wehrpflicht unterliegen. Dabei orientiert sich Pistorius am schwedischen Modell. Der Grundwehrdienst soll jetzt sechs Monate dauern (früher waren es noch neun Monate, als ich noch dabei war). Der Freiwillige Wehrdienst soll über 17 Monate gehen. (Quellen: ZDF heute, Interview mit Pistorius)

Die große Frage ist doch: Warum haben wir eigentlich so ein Problem, junge Menschen in die Pflicht zu nehmen? Es gibt Dinge, die einfach sein müssen. Wer lesen und schreiben lernen will, muss in die Schule gehen, wer Geld verdienen will, muss arbeiten. Und wer in Frieden leben will, der muss im Zweifel kämpfen können. Das gilt nicht für jeden einzelnen, aber doch für unsere Gesellschaft. Daher finde ich es gut, dass der Wehrdienst jetzt wieder eingeführt wird. Auch wenn es in dem nun vorgestellten Modell nur eine Pflicht ist, den Fragebogen auszufüllen, ob man freiwillig bereit ist, zur Bundeswehr zu gehen, scheint es der kleinste gemeinsame Nenner gewesen zu sein, auf den man sich in der Ampel hat einigen können.

[10:11] Sieht ganz spannend aus:

umbrelOS - The no-brainer home cloud OS. Store your files, photos & videos. Run your personal Bitcoin node. Download and stream movies & TV shows. Block ads on your entire network. Automate your home. umbrelOS lets you do all that — and even more.

Link: umbrelOS

Tags: #HomeCloud #MediaStreaming #NAS

[09:33] Vor zwei Wochen haben Arbeiter, Freiwillige und Schulkinder mühsam 50.000 Sonnenblumen- und Dahliensamen von Hand ausgesäht, die zu einer riesigen lebenden Blumenbild eines der Sonnenblumenbilder von Van Gogh heranwachsen sollte.

Es sollte ein farbenfroher Tribut an eines der bekanntesten Werke von Vincent van Gogh werden, doch hatte nicht mit einem so regnerischen niederländische Wetter gerechnet.

Quelle: DutchNews

[11:20] Gestern war die Eröffnungs-Keynote der WWDC 2024. Neben vielen interessanten Dingen hat Apple angekündigt, dass sie ihre generative KI für mehr als eine Milliarde iPhone-Nutzer weltweit zugänglich machen wollen. Dabei hat man sich der bekannten Abkürzung AI, die eigentlich für „Artificial Intelligence“ steht, bedient und nennt seine KI nun „Apple Intelligence“. Apple legt dabei besonderen Wert darauf, dass die Technologie datenschutzkonform integriert wird.

Eine Funktion wird die intelligente Priorisierung von Nachrichten und Benachrichtigungen sein. Außerdem wird es neue Schreibwerkzeuge geben, die Texte korrigieren und bessere Vorschläge machen können. Mir gefällt besonders die Handschrifterkennung und die Korrektur meiner Handschrift. Das Update wird auch ein großes Upgrade für Siri, den Sprachassistenten, bedeuten, der bisher nicht so gut war und keine komplexeren Dinge erledigen konnte.

Alle KI-Ergänzungen von Apple werden zunächst in einer Beta-Version eingeführt, damit Apple sie testen kann, bevor sie als vollständige Funktionen veröffentlicht werden. Alles wird auf freiwilliger Basis sein, sodass du entscheiden kannst, ob du die AI-Funktionen verwenden möchtest oder nicht.

Die Anforderungen für die Nutzung von KI bedeuten allerdings, dass du ein iPhone 15 Pro oder eines der iPhone 16 Modelle, die dieses Jahr herauskommen, benötigen wirst. Wenn du iPads oder Macs benutzt, werden die Modelle mindestens einen M1 Chip benötigen. Apples KI-Funktionen werden von der eigenen Technologie und Tools von OpenAI unterstützt, aber es wird auch eine Partnerschaft mit OpenAI geben, die einen ChatGPT-ähnlichen Chatbot ermöglicht.

Man erwartet, dass Apple Intelligence grundlegende KI-Aufgaben übernimmt und größtenteils auf dem Gerät selbst arbeitet. Das bedeutet, dass das Modell vom internen Prozessor des Geräts betrieben wird, anstatt in der Cloud. Es ist nicht klar, wie entschieden wird was eine einfache Aufgabe ist, aber Apple Intelligence soll Code enthalten, der bestimmt, ob eine Anfrage auf dem Gerät verarbeitet werden kann oder ob Apples Server benötigt werden.

Apple hat sich mit OpenAI, dem Entwickler von ChatGPT, zusammengetan, um einige KI-Fähigkeiten zu unterstützen. Der Deal zeigt, dass OpenAI, die schon eng mit Apples Konkurrenten Microsoft zusammenarbeitet, zu einem der führenden Entwickler von KI-Technologie geworden ist.

Neben dem ganzen KI/AI-Kram hier noch meine persöhnlichen Favoriten:

Das man nun auch seine Icons irgendwo platzieren kann und das man diese auch einfärben kann finde ich ganz nett, aber nicht wichtig für mich. Was aber ganz nett ist, sind die Verbesserungen im Kontrollzentrum.

Hier ist noch eine Zusammenfassung von MacRumors: Alles was Apple gestern gesagt hat, in 9 Minuten.

Apple crammed an overwhelming number of new features into its WWDC 2024 keynote event, introducing Apple Intelligence, iOS 18, iPadOS 18, macOS Sequoia, visionOS 2, watchOS 11, and tvOS 18. It was hard to keep up with everything that Apple highlighted, so we did a video of all of the new additions you won‘t want to miss.

Quelle: macrumors

Apple WWDC 2024 keynote in 18 minutes

[09:24] Trumps Liquorlizenzen sind nach seiner Verurteilung wegen Verbrechens unter Beobachtung.

Trump is the sole owner of three golf courses in New Jersey that have active liquor licenses, according to the Division of Alcoholic Beverage Control. New Jersey law prohibits issuing a liquor license to anyone who has been convicted of a crime “involving moral turpitude.” A state handbook explains that those sorts of crimes typically involve “dishonesty, fraud or depravity” severe enough to typically be punishable by more than a year in prison. (Quelle: Forbes)

Deutsch: Trump ist laut der Division of Alcoholic Beverage Control der alleinige Besitzer von drei Golfplätzen in New Jersey, die über aktive Liquorlizenzen verfügen. Das Gesetz von New Jersey verbietet die Erteilung einer Liquorlizenz an Personen, die wegen eines Verbrechens „mit moralischer Verwerflichkeit“ verurteilt wurden. Ein staatliches Handbuch erklärt, dass solche Verbrechen typischerweise „Unehrlichkeit, Betrug oder Verkommenheit“ umfassen, die schwer genug sind, um in der Regel mit mehr als einem Jahr Gefängnis bestraft zu werden.

Man darf gespannt sein, ob der Ex-Präsident seinen Golfplätzen bald alkoholfreie Tage verordnen muss.

Gefunden auf jwz.org

Tags: #Golfplatz, #Liquorlizenz, #NewJersey, #Trump, #Verbrechen

[10:31] Während Politiker in Gummistiefeln durch Hochwasserbereiche wandeln, bleiben ihre Personenschützer mit festem Schuhwerk auf dem Boden der Realität. Ein absurdes Schauspiel, das zeigt, wie Inszenierung und Prioritäten auseinanderklaffen. Statt sich für effektiven Klima- und Hochwasserschutz einzusetzen, scheinen manche lieber im Rampenlicht zu glänzen. Ein trauriges Beispiel dafür, wie die eigentlichen Probleme im Schlamm stecken bleiben.

Tagesschau: Gummistiefel-Politik statt Klimaschutz

[11:52] Das wurde aber auch Zeit: Ukraine darf deutsche Waffen auch in Russland einsetzen

Zuletzt wurde viel darüber diskutiert, nun hat die Bundesregierung beschlossen: Die Ukraine darf deutsche Waffen auch gegen Ziele auf russischem Territorium verwenden. Damit folgt sie erneut der US-Regierung. (Quelle Tagesschau)

denn:

Es gilt als unstrittig, dass das Kriegsvölkerrecht dem Angegriffenen erlaubt, im Rahmen der Selbstverteidigung auch Ziele auf dem Gebiet des Aggressors zu bekämpfen - egal wo sie sich befinden. Auch aus militärischer Sicht ist es nötig, Abschussrampen, Flugplätze, Munitionsdepots, Führungskommandos und andere Einrichtungen des Feindes wenn nötig tief im Hinterland zu zerstören. Anders lasse sich ein Krieg nicht gewinnen, bestätigen NATO-Militärs, die nicht namentlich genannt werden wollen. (Quelle DW)

[18:43] Ooof, Geschichten über schreckliche Sicherheitsfehlkonfigurationen, IP-Diebstahl und andere Schandtaten.

Ask Reddit: What‘s the worst case of insider threat incidents you have seen?